思科威胁情报组织Talos近日揭露了一起名为“海龟”的攻击行动,据悉该行动从2017年1月到今年第一季,持续锁定中东及北非地区13个国家的超过40个组织发动DNS攻击,而且相信此一攻击是由国家支持的骇客所为。
“海龟行动”以DNS挟持作为主要的攻击手法,借由非法篡改DNS名称记录把访问者导至骇客所掌控的服务器。该行动的主要受害者为国家安全组织、外交部、知名能源组织,以及替这些组织提供服务的第三方发动;而次要受害者则是DNS注册商、电信运营商与ISP服务商等。
值得注意的是,骇客通常以第三方服务商作为跳板来攻击目标对象。
其实外界已经察觉了“海龟行动”。瑞典的中立网络基础设施Netnod在今年1月遭到骇客攻击,坦承Netnod并非骇客的终极目标,骇客只是由Netnod取得其它国家之网络服务的登入证书,受害者遍布中东、北非、欧洲与北美。而安全厂商FireEye也在1月公布一起全球性的DNS挟持攻击,并推测骇客源自伊朗。
Talos认为,“海龟行动”显示了骇客的高度攻击能力与持续性。因为大多数的攻击行动在被公开揭露之后就会停止或放缓,但主导“海龟行动”的骇客却不受阻挠地持续进行攻击。研究人员估计设计精密的“海龟行动”至少利用了7个安全漏洞,这些漏洞涉及phpMyAdmin、GNU bash系统、思科交换机、思科路由器、思科安全设备、执行Tomcat的Apache服务器,以及Drupal等。
此外,DNS挟持只是骇客达到目的的手段,研究人员相信骇客的目的是为了窃取可访问目标系统或网络的凭证;先控制了目标对象的DNS记录,再变更DNS记录以将使用者引导至骇客服务器,进而骗取使用者证书,并利用这些服务证书访问受害网络或系统。
【建议各大组织或企业可启用“注册锁定服务”,以避免DNS记录遭到不明篡改,或是替DNS的访问设定多重身份认证机制。如果怀疑已遭到骇客入侵,那么最好全面更换用户密码,并修补各种已被公开的安全漏洞。】
- 调查区域:企业小调查(点击预览可查看效果)
【ZOL客户端下载】看最新科技资讯,APP市场搜索“中关村在线”,客户端阅读体验更好。
,